[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hbvPVTkb-1666679410875)(htTPS://tva1.sinaimg.cn/large/e6c9d24ely1h4r0auxvmxg20tr04ojug.gif)]
跨链桥是一种允许两个独立区块链网络之间进行通信的技术,例如转账和交换资产,调用来自其他区块链的合约中的函数等等。换句话说,桥使用户能够将资产从一个网络转移到另一个网络。例如,如果你有比特币,但想要像以太坊一样进行消费,你就可以通过桥来实现。
毫无疑问,随着不同区块链数量的增长,用户使用桥的机会会越来越多。但是,如果你不熟悉每个桥的特点,就可能会面临意想不到的风险,所以要谨慎使用。
在如此频繁且如此短的时间内发生这些重大黑客事件的情况下,显然,安全对我们来说是个十分迫切的事情。本篇将介绍最常见的桥攻击,以帮助保护我们自己免受潜在的攻击!
2022年桥黑客事件
BSC Bridge:5.68亿美元:2022年10月7日,一个漏洞影响了名为“BSC Token Hub”的本地跨链桥。共被提取200万个BNB,币安不得不暂时暂停BSC网络,以防止进一步的损失。从BSC取出的资金估计在1亿至1.1亿美元之间。进一步阅读:blog.quillhash.com/2022/10/11/the-million-dollars-bsc-token-hub-bridge-hack-analysis
Nomad攻击:2亿美元:早在8月份,黑客利用Nomad窃取了大约2亿美元。攻击的主要原因是Nomad的智能合约未能正确验证交易的输入。进一步阅读:sm4rty.medium.com/nomad-bridges-200-million-exploit-postmortem-9d1cd83db1f7
Harmony Bridge:1亿美元:2022年6月,Harmony Horizon桥因为两个私钥被盗而被黑。这次攻击导致了大约1亿美元的各种加密货币被盗,包括WETH、AAVE、SUSHI、DAI、Tether (USDT)和USD Coin (USDC)。随后,攻击者使用Tornado Cash清洗了许多被盗的代币。进一步阅读:
medium.com/harmony-one/harmonys-horizon-bridge-hack-1e8d283b6d66
Ronin Bridge:6亿美元:2022年3月,Ronin Network遭到大规模黑客攻击,这是一个基于以太坊的侧链,用于著名加密货币游戏Axie Infinity。攻击者盗窃了约173,600个ETH和2550万USDC,总价值约6.24亿美元。据称,攻击者在两次交易中使用黑客的私钥从Ronin桥合约中伪造取款。进一步阅读:blog.chainalysis.com/reports/axie-infinity-ronin-bridge-dprk-hack-seizure
Poly Network:2021年8月10日,Poly Network遭遇黑客攻击,损失超过6亿美元。此次黑客攻击发生在多个区块链上,包括以太坊、币安智能链和Polygon。这是迄今为止规模最大的加密货币黑客攻击。进一步阅读:mudit.blog / poly-network-largest-crypto-hack
**Wormhole Bridge **:2022年2月2日,Wormhole Bridge被黑了12万个wETH,价值3.2亿美元。黑客利用智能合约中的漏洞,制造了新的代币。黑客入侵后,Wormhole Bridge被迫关闭来修补漏洞。进一步阅读:rekt.news / wormhole-rekt
桥是如何被黑的?
假事件
通常,跨链桥将监控一个区块链上的存储事件,以启动向另一个区块链的转移。如果攻击者可以在不进行真正的存入或使用无值代币进行存入的情况下生成存入事件,那么他们可以从另一端的桥中提取价值。
消息验证错误
跨链桥在实际进行任何转账之前会执行存款或取款验证。过去有很多例子,缺乏适当的签名验证导致数百万美元的黑客攻击。最近BSC链因为一个类似的漏洞而受到攻击,黑客总共提取了5.76亿。
区块链桥缺乏跨合约访问控制
对执行诸如修改所有者、资金和代币转移、暂停和取消合约等操作的关键函数进行访问控制验证是很重要的。
验证者接管
一些跨链桥有一组验证者来进行投票决定是否批准某个特定的转账。如果攻击者控制了这些验证者中的大多数,他们就可以批准虚假和恶意的转账。
管理员私钥泄漏
如果智能合约的管理密钥被泄露,智能合约的所有资金和运行都将面临巨大的风险。最近,Harmony Bridge被窃取了两个私钥。这次攻击导致各种加密货币约1亿美元被盗。
总结
一旦某些东西上了区块链,它就是永久的,任何人都可以使用。所以如果桥上有漏洞,就无法保证黑客会不利用它。
如果我们最终想让人们有机会成为自己的银行,则必须意识到,在这种情况下,人们必须能够取代传统银行获得资金的所有服务。
这里好像才是一个真正的雷区。了解最新的攻击技术,白帽备忘录,并进行防御。在这场智力拳击比赛中,准备最充分的人才能获胜。
Source:https://hackernoon.com/how-are-cross-chain-bridges-hacked
ChinaDeFi - ChinaDeFi.com 是一个研究驱动的DeFi创新组织,同时我们也是区块链开发团队。每天从全球超过500个优质信息源的近900篇内容中,寻找思考更具深度、梳理更为系统的内容,以最快的速度同步到中国市场提供决策辅助材料。
Layer 2道友 - 欢迎对Layer 2感兴趣的区块链技术爱好者、研究分析人与Gavin(微信: chinadefi)联系,共同探讨Layer 2带来的落地机遇。敬请关注我们的微信公众号 “去中心化金融社区”。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6lWlFtnk-1666679410877)(htTPS://tva1.sinaimg.cn/large/e6c9d24ely1h4r0b7i2jnj20p00dw3zq.jpg)]
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
我有一个对象has_many应呈现为xml的子对象。这不是问题。我的问题是我创建了一个Hash包含此数据,就像解析器需要它一样。但是rails自动将整个文件包含在.........我需要摆脱type="array"和我该如何处理?我没有在文档中找到任何内容。 最佳答案 我遇到了同样的问题;这是我的XML:我在用这个:entries.to_xml将散列数据转换为XML,但这会将条目的数据包装到中所以我修改了:entries.to_xml(root:"Contacts")但这仍然将转换后的XML包装在“联系人”中,将我的XML代码修改为
我有一大串格式化数据(例如JSON),我想使用Psychinruby同时保留格式转储到YAML。基本上,我希望JSON使用literalstyle出现在YAML中:---json:|{"page":1,"results":["item","another"],"total_pages":0}但是,当我使用YAML.dump时,它不使用文字样式。我得到这样的东西:---json:!"{\n\"page\":1,\n\"results\":[\n\"item\",\"another\"\n],\n\"total_pages\":0\n}\n"我如何告诉Psych以想要的样式转储标量?解
